WordPress Contact Form 7 Datepicker插件中存在一个存储型的跨站脚本漏洞,攻击者可利用该漏洞创建恶意管理员账户或控制管理员会话。使用该插件的WordPress网站所有者应尽快移除或禁用该插件,以防止攻击。
Contact Form 7 Datepicker是个停止维护的插件,设计用于集成和添加日期字段到WordPress Contact Form 7插件的用户界面中,Contact Form 7插件是个联系人表单管理插件,超过500万个网站安装了该插件。
不过,Contact Form 7插件未受到Contact Form 7 Datepicker中发现的跨站脚本漏洞的影响,因此,当前数百万使用该插件的网站是安全的。
Defiant公司的Wordfence QA工程师Ram Gall4月1日报告了该跨站脚本漏洞,同日WordPress插件团队从WordPress插件库中移除了Contact Form 7 Datepicker。
该插件背后的开发团队表示,该插件已不再维护,从WordPress库中移除该插件,他们没有意见。
然而,根据Wayback Machine网站在1月份捕获的一个网页快照来看,在被移除之前,该插件已经有超过10万次主动安装。
Gall解释称,已登录的、具有最小权限的攻击者,例如订阅用户,可通过发送含有恶意JavaScript代码的请求,将恶意代码存储在该插件的设置中,利用该漏洞执行跨站脚本攻击。
“下一次当授权用户创建或修改联系人表单时,存储的JavaScript代码就会在他们的浏览器中执行,这可被用于窃取管理员会话,甚或创建恶意管理员用户。”
所有安装了Contact Form 7 Datepicker插件的网站都应立即移除或禁用该插件。
并且,由于开发人员已经停止维护该插件,很大可能永远不会有漏洞补丁,这意味着如果网站使用了该插件应寻找替代方案。
本文源自Bleeping Computer;转载请注明出处。